Prof. Niko Härting: Datenschutz im Konjunktiv – das erste DSGVO-Bußgeld ist da

Seit dem 25.5.2018 gilt die DSGVO.  Von drakonischen Bußgeldern hat man dennoch bislang nichts gehört. Das Wettrennen zwischen den deutschen Aufsichtsbehörden um das erste DSGVO-Bußgeld hat die fleißige baden-württembergische Behörde für sich entschieden. Mit Bescheid vom 21.11.2018 verhängte sie gegen einen Social-Media-Anbieter ein Bußgeld von 20.000 EUR und warf dem Anbieter vor, durch eine unzureichende Sicherung von Passwörtern gegen die durch Art. 32 DSGVO vorgeschriebenen Standards der Datensicherheit verstoßen zu haben.

In einer Pressemitteilung lobte der baden-württembergische Datenschutzbeauftragte Stefan Brink die „sehr gute Kooperation“ des  Social-Media-Unternehmens mit seiner Behörde. Das Unternehmen habe seine IT-Sicherheitsarchitektur durch weitreichende Maßnahmen verbessert und hierfür einen sechsstelligen Betrag aufgewandt.

Der Fall ist alles andere als spektakulär. Auch nach altem Recht war es so, dass Datenpannen zu behördlichen Auflagen führten. Bußgelder wurden nur selten verhängt. Und selbst wenn es einmal ein Bußgeld gab, kamen die Wünsche, Vorschläge, Ideen und Auflagen der Behörden die Unternehmen meist deutlich teurer zu stehen als das eigentliche Bußgeld. Der baden-württembergische Fall könnte ein erstes Zeichen dafür sein, dass sich die Behördenpraxis durch die DSGVO weit weniger ändert, als dies die meisten Beobachter erwartet hatten.

Die behördlichen Mühlen mahlen langsam. Dies gilt nicht nur in Deutschland. Während wir auf das zweite deutsche DSGVO-Bußgeld warten, gibt es auch aus den anderen EU-Ländern nur spärliche Berichte über Bußgelder oder andere Aufsichtsmaßnahmen, die sich auf das neue Recht stützen. Die Abstimmung zwischen den deutschen Behörden über einheitliche Maßstäbe und Regeln ist ein mühsamer Prozess. Und es wird noch Jahre dauern, bis die europäischen Datenschutzbehörden in grenzüberschreitenden Fällen – wie von der DSGVO vorgesehen – reibungslos und nach einheitlichen Regeln zusammenarbeiten.

Die DSGVO wirkt. Sie ist in aller Munde, beschäftigt Unternehmen und Vereine, Behörden und Organisationen. Die Wirkungen finden jedoch weitgehend im Konjunktiv statt. Man diskutiert mögliche behördliche Maßnahmen und Bußgelder, nicht jedoch behördliche Auflagen, Verwaltungsakte, Streitverfahren. Der Konjunktiv sorgt für anhaltende Unsicherheit. Stellungnahmen der Datenschutzkonferenz und des Europäischen Datenschutzausschusses werden ehrfürchtig exegiert. Die Unsicherheit beim Umgang mit der DSGVO wird uns wohl noch viele Jahre begleiten.

In Zeiten der Unsicherheit bleiben Datenschutzberater und -anwälte gefragt. Für viele Berater bleibt das Datenschutzrecht eine Goldgrube. Ob die DSGVO nachhaltige Wirkungen zeigt, die über den reichhaltigen Beratungsbedarf und den Konjunktiv hinausgehen, bleibt abzuwarten.

Prof. Niko Härting, RA, ist Partner von HÄRTING Rechtsanwälte, Berlin, und Honorarprofessor an der Hochschule für Wirtschaft und Recht, Berlin. Seine Tätigkeitsschwerpunkte bilden das Medien- und Internetrecht.